Российская ИТ-инфраструктура уязвима перед атаками злоумышленников из-за использования устаревшего иностранного программного обеспечения и недоработок в импортонезависимых решениях. Проблема усугубляется сохраняющейся нехваткой кадров и отсутствием полноценной стратегии по киберзащите у большинства организаций. При этом следует помнить, что создать неуязвимую ИТ-инфраструктуру практически невозможно. Поэтому усилия должны быть направлены на построение гибкой защиты, которая позволит сохранить непрерывность бизнеса и не допустить критического ущерба даже в случае успешной атаки.
Российское или иностранное ПО, что опаснее?
Последние несколько лет российские организации активно вкладывают средства в построение систем информационной защиты. Тем не менее, ИТ-инфраструктура остается в высокой степени уязвимой для атак со стороны злоумышленников. Компания Positive Technologies провела исследование по анализу проектов тестирования на проникновение в ИТ-периметр различных организаций в 2024 г. По его итогам доля предприятий, которые не защищены от вторжения злоумышленников во внутреннюю сеть, составила 92%. При этом большинство российских организаций подходят к укреплению ИТ-инфраструктуры выборочно. «Так, по сведениям нашего исследования, лишь каждый пятый бизнес занимается комплексной защитой своих информационных систем — 80% организаций не реализуют полноценных мер по усилению кибербезопасности», — рассказывает аналитик Positive Technologies Анна Вяткина.
Среди программ, технические уязвимости в которых чаще всего эксплуатируют злоумышленники, эксперты называют почтовый сервис MS Exchange, западные ERP-системы и отечественное ПО «Битрикс». В первых двух случаях налицо проблема импортозамещения, когда организации испытывают сложности с поиском и миграцией на российские продукты. «К сожалению, многие заказчики не нашли полноценной альтернативы почтового сервиса, поэтому до сих пор пользуются Microsoft Exchange, который подвержен атакам злоумышленников», — приводит пример первый заместитель генерального директора компании «РТ-ИБ» Артём Сычёв. При этом отечественные заказчики потеряли доступ к регулярным обновлениям и «патчам» безопасности для информационных систем западной разработки. «Из-за отсутствия официальных обновлений даже старые уязвимости в этих продуктах могут эксплуатироваться злоумышленниками», — констатирует спикер.
Впрочем, как свидетельствует пример продуктов «1С-Битрикс», переход на отечественные решения не является панацеей. Названное ПО используется в большинстве крупных и средних компаний по всей стране, поэтому на черном рынке уязвимости нулевого дня для «Битрикс» ценятся особенно высоко. По данным исследования, проведенного Positive Technologies, к 2024 г. доля эксплуатации уязвимостей российской CMS-системы «1С-Битрикс» выросла до трети от всех случаев атак на веб-приложения (33%), став основным исходным вектором атак через такие приложения, в то время как в 2021–2023 гг. доля эксплуатации уязвимостей названной системы составляла всего 13%.
«Ключевая проблема — недостаточное качество технических средств, усугубляемое процессами импортозамещения», — подводит итог аналитик Positive Technologies Анна Вяткина. В пример она приводит статистику исследовательской группы PT SWARM (PT Security Weakness Advanced Research and Modeling), которая в 2024 г. обнаружила почти в три раза больше уязвимостей в российском ПО, чем годом ранее.
Самое уязвимое звено — это люди
Не все специалисты согласны с тем, что главная проблема защиты российской информационной инфраструктуры заключается в плохом качестве инструментов ИБ и «дырявом» ПО российского производства. Юрий Драченин, замруководителя продуктовой группы «Контур.Эгида» и Staffcop (часть СКБ Контур) полагает, что на рынке представлено достаточно качественных средств защиты, но они часто либо не закупаются, либо внедряются формально и не используются в полную силу.
Большинство опрошенных CNews экспертов считают, что крупные инциденты всегда — следствие нескольких факторов, среди которых не только технические, но и управленческие проблемы. В частности, такого мнения придерживается Иван Сюхин, руководитель группы расследования инцидентов Solar 4Rays: «Причиной атак, в том числе масштабных, являются как человеческий фактор, так и технические сложности. При этом они тесно переплетены между собой. Организационные меры могут отчасти компенсировать недостаток технических средств и наоборот».
С точки зрения Юрия Драченина, слабым звеном остаются сотрудники: «Именно через них злоумышленники чаще всего проникают внутрь инфраструктуры, поэтому ключевой задачей я считаю обучение, повышение осознанности и регулярные практические учения. Без этого никакие самые современные технологии не дадут гарантии защиты», — полагает спикер.
ИИ не сможет полностью заменить ИБ-специалистов
Важной проблемой при обеспечении защиты по-прежнему остается дефицит квалифицированных кадров. По разным оценкам, в отрасли не хватает от 50 до 100 тыс. специалистов. «Дефицит кадров в 2025 г. сохраняется на высоком уровне и может достигать 20–25% от текущей численности сотрудников в сфере ИБ», — комментирует Анна Вяткина. По данным опроса, проведенного Positive Technologies, в 2024 г. 39% респондентов сообщали о нехватке специалистов в ИБ-командах. Кадровый голод вызван повышенной нагрузкой на коллективы, ответственные за мониторинг и реагирование на инциденты. «Рост числа и сложности кибератак поддерживает высокий спрос на специалистов, что усиливает нагрузку на отрасль», — резюмирует аналитик.
Хотя дефицит кадров остается острым, однако ситуация постепенно стабилизируется за счет роста зарплат в отрасли, совместных образовательных программ ВУЗов и провайдеров ИБ, распространения аутсорсинга защиты и внедрения искусственного интеллекта. «В 2022–2023 гг. кадровый дефицит в сфере ИБ был на максимуме, сейчас же ситуация выравнивается — сказывается заметный рост уровня оплаты труда, плюс отрасль начала активно притягивать специалистов из смежных направлений, в том числе из ИT», — комментирует Андрей Янкин.
В 2024–2025 гг. ситуация несколько улучшилась в крупных городах, но в регионах нехватка специалистов остается на прежнем уровне, полагает Юрий Тюрин, технический директор MD Audit (Softline). По его словам, распространение аутсорсинга ИБ частично снимает нагрузку, позволяя привлекать экспертов по мере необходимости, а внедрение ИИ и автоматизированных систем мониторинга помогает закрывать рутинные задачи, такие как анализ логов и фильтрация инцидентов.
Впрочем, полного преодоления кадрового дефицита за счет автоматизации и аутсорсинга ожидать не стоит. Провайдерам, которые предоставляют услуги SOC и MSSP, также не хватает специалистов. Что касается ИИ, то он позволяет автоматизировать только типовые операции, но ключевые решения по-прежнему принимают люди. «Критически важные задачи, требующие анализа, стратегического мышления и принятия решений в условиях неопределенности, по-прежнему зависят от человеческого фактора. Таким образом, хотя аутсорсинг и ИИ способствуют смягчению последствий нехватки кадров, они не заменяют полностью потребность в квалифицированных специалистах, и дефицит будет сохраняться в ближайшее время», — обращает внимание Анна Вяткина.
По мнению Андрея Янкина, более результативным является комбинированный подход, когда компания «выращивает» собственных специалистов, использует аутсорсинг там, где он, действительно, экономит время и ресурсы, и одновременно внедряет автоматизацию, чтобы максимально эффективно использовать человеческий капитал.
Отделаться «легким испугом» в случае успешной атаки
Гарантировать стопроцентную безопасность практически невозможно, поэтому для организаций важно выстраивать стратегию поведения в случае атаки и взлома инфраструктуры, чтобы обеспечить киберустойчивость бизнеса и продолжать нормальную работу в условиях непрерывных кибератак. «Компании делятся не на тех, кого взломали и кого не взломали, а на тех, чья деятельность была остановлена в итоге инцидента, и тех, кто отделался легким испугом», — объясняет Андрей Янкин. Для этого рациональнее идти не от выстраивания непреодолимого периметра, а начинать действовать с точки «итак, нас взломали» и решать, как минимизировать ущерб. «Зачастую ответ будет крыться не в СЗИ, а в защищенных от шифрования бэкапах, сегментации сети, харденинге ИТ-инфраструктуры, качественном мониторинге, вовремя проведенных киберучениях с участием руководства и бизнес-подразделений», — резюмирует эксперт.
Таким образом, целью становится не построение неуязвимой архитектуры ИТ, а создание гибкой, «антихрупкой» конфигурации, которая оперативно модифицируется после очередной атаки, подстраиваясь под меняющийся ландшафт угроз. Приоритетом должна быть не идеальная защищенность, а сохранение непрерывности бизнеса при разумных затратах.
Поделиться
